Video: How to Hack a Car: Phreaked Out (Episode 2) (Oktober 2024)
Bilhacking har kommet med mange overskrifter i det siste, selv om det bare har skjedd en dokumentert hendelse (som var en innvendig jobb for fem år siden).
Nå har oppmerksomheten vendt seg til ettermarkedet tilkoblede bilenheter som kobles til bilens Onboard Diagnostic Port II, også kjent som OBD-II-dongler. Enhetene har eksistert i flere år og lar eiere av kjøretøy produsert etter 1996 med en ODB-II-port legge til tilkoblingsmuligheter. De tilbys av selskaper som spenner fra store bilforsikringsselskaper til et dusin startups for alt fra overvåking av kjørestiler og drivstofføkonomi til sporing av tenåringer mens de står bak rattet.
Klipper en Corvette's Brakes
I forkant av en sikkerhetskonferanse denne uken avslørte forskere fra University of California i San Diego (UCSD) hvordan de trådløst kunne hacke seg inn i en OBD-II-dongle koblet til en senmodell Corvette. De sendte SMS-meldinger til en enhet som skrudde på bilens vindusviskere og kuttet bremsene. Mens forskerne bemerket at hacking av bremsene bare kunne utføres i lave hastigheter på grunn av måten kjøretøyet er designet på, la de til at angrepet lett kunne tilpasses nesten ethvert moderne kjøretøy for å ta over kritiske komponenter som styring eller girkasse.
"Vi skaffet oss noen av disse, reverse engineering, og fant underveis at de hadde en hel haug med sikkerhetsmangel, " sa Stefan Savage, en UCSD-datasikkerhetsprofessor som ledet prosjektet. Donglene "gir flere måter å fjernstyre… kontrollere omtrent hva som helst på kjøretøyet de var koblet til, " la han til.
UCSD-forskerne varslet Metromile om Dongles sårbarhet i juni, og selskapet sa at det trådløst sendte en sikkerhetsoppdatering til enhetene. "Vi tok dette veldig alvorlig så snart vi fant det ut, " sa Metromile-administrerende direktør Dan Preston til Wired .
Selv etter at Metromile sendte ut sikkerhetsoppdateringen, var tusenvis av dongler synlige og fremdeles hackbare, i stor grad fordi de ble brukt av det spanske flåtestyringsselskapet Coordina. I en uttalelse fra morselskapet TomTom Telematics sa Coordina at den så på forskernes angrep og fant ut at det bare gjelder en eldre versjon av donglene selskapet bruker. Det er nå i ferd med å erstatte et "begrenset antall" av disse enhetene.
Selskapet bemerket også at telefonnummeret som er tilordnet SIM-kort på enhetene sine ikke er offentlig og ikke kan kontaktes via tekstmelding, som i angrepet fra UCSD-forskerne. Men forskerne motarbeidet at selv uten å vite et SIM-korts telefonnummer, er donglene mottakelige for brute-force-angrep ved å sende en spekter av tekstmeldinger.
Selv om de nylige hackingene med produksjonsbiler har tatt måneder å utføre eksternt eller krevd fysisk tilgang til kjøretøyet, har sikkerhetsproblemene til sky-tilkoblede OBD-II dongler vært kjent i flere måneder og ser ut til å være mye lettere å hacke. Og problemet er ikke begrenset til mobile enheter. I januar kunne sikkerhetsforsker Corey Thuen hacke Progressives Snapshot-enhet, mens forskere ved cybersikkerhetsfirmaet Argus fant sikkerhetsfeil med Zubie OBD-II-enheten.
Forskerne bemerket at potensielle hacks ikke er begrenset til Corvette som ble brukt i testene sine, og at de tenkelig kunne kapre styringen eller bremsene til omtrent ethvert moderne kjøretøy med en Mobile Devices-dongle plugget inn i instrumentbrettet. "Det er ikke bare denne bilen som er sårbar, " sa UCSD-forsker Karl Koscher.
I likhet med tilkoblede biler fra bilprodusenter har det ennå ikke skjedd en dokumentert ondsinnet hack av et kjøretøy med en OBD-II-dongle. Men forskerne mener at trusselen er reell og bemerker at i motsetning til tilkoblingsmuligheter i produksjonsbiler, er det ingen myndigheters tilsyn med ettermarkedsenheter.
"Vi har en hel haug av disse som allerede er der ute i markedet, " la Savage til. "Gitt at vi har sett en komplett fjernutnyttelse og at disse tingene ikke er regulert på noen måte og bruken av dem vokser… Jeg tror det er en rettferdig vurdering at det vil være problemer andre steder."
"Tenk to ganger på hva du kobler til bilen din, " advarte Koscher. "Det er vanskelig for den vanlige forbrukeren å vite at enheten deres er pålitelig eller ikke, men det er noe de burde tenke seg om. Er dette utsatt for mer risiko for meg?"
Det er et spørsmål som forbrukere har stilt i mange år, og bilister som vil koble bilen sin til skyen via OBD-II-dongle, må nå også spørre.
